AMD 安全公告AMD -SB-6016,2025年2月
漏洞披露:
Supermicro 已意識到並正在解決衛星管理控制器 (SMC) 中的安全漏洞。 AMD Instinct™ MI300X 加速器。這些漏洞可能導致拒絕服務攻擊和/或資料損壞。
CVE:
- CVE-2024-21927
- 嚴重程度:中等
- CVE-2024-21935
- 嚴重程度:中等
- CVE-2024-21936
- 嚴重程度:高
發現:
- CVE-2024-21927:
- 衛星管理控制器 (SMC) 中不正確的輸入驗證可能允許具有特權的攻擊者在篡改的資料中使用某些特殊字元。 Redfish® API 命令會導致 OpenBMC 等服務進程崩潰和重置,從而可能導致拒絕服務。
- CVE-2024-21935:
- 衛星管理控制器 (SMC) 中不正確的輸入驗證可能允許具有權限的攻擊者進行操縱。 Redfish® 使用 API 命令從本機根目錄中刪除文件,可能會導致資料損壞。
- CVE-2024-21936:
- 衛星管理控制器 (SMC) 中不正確的輸入驗證可能允許具有權限的攻擊者發送多個篡改過的資料。 Redfish® API 命令會導致 OpenBMC 等服務進程崩潰和重置,從而可能導致拒絕服務。
受影響產品:
| AMD 主機板 | 修復後的 BIOS 版本 |
|---|---|
| H13 MI300X (H13DSG-OM) | 未受影響 |
| AMD 伺服器 | GPU韌體包/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
補救措施:
- 所有受影響的人Supermicro 主機板型號需要更新GPU韌體以緩解此潛在漏洞。
- 為緩解此潛在漏洞,我們已開發出更新的GPU韌體。 Supermicro 目前正在對受影響的產品進行測試和驗證。請查看發行說明以了解解決方案。